Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.

Ich fang dann mal an:

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

Hi

SmartSniff von Nirsoft wird von eSafe als FP erkannt: *Klick*
Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...

Wer hat Kontakt zu eSafe?


Scrapie

Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.

Okay, ich schick's mal hin...

a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv: *Klick*


Ich geh'jetzt erst mal zur Arbeit ,
Scrapie

Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!

Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...

Überfordere sie doch nicht so. Erst das neue Release, dann gleich drei (zum Teil böse) Sicherheitslücken + einem schwachen Test bei AV-C. Wen interessieren da noch FP´s ?

Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.

Über das Programm nicht. Aber ich habe so meine 1-2 E-Mail-Adressen, bei denen es ganz flott geht . Zumindest, dass sie da draufschauen.

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661


Dies erkennen sie auch noch fälschlicherweise.

Ich habs geahnt. Wird wieder ein stressiger Abend .

Nein, im Ernst. Werde die beiden Dateien einschicken und dann hoffen. Spätestens Morgen, denn ich muss gleich noch einige berufliche Dinge erledigen.

Kann ich nicht bestätigen, bei mir kommt weder beim herunterladen noch beim Installieren eine derartige Meldung von F-Secure.

Kann ich ebenfalls nicht bestätigen,keine Meldung von F-Secure beim starten des Programmes.

Hast du die Heuristik aktiviert?

Du meinst den DeepGuard,der läuft.

ThreatFire/PCTools

VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe

http://www.virustotal.com/analisis/fdab050...fa6b06ccc43b420

Datei gehört zur Guest Additions von VirtualBox.

Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.

Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.

http://www.virustotal.com/analisis/e...fa67ea87713018
http://legroom.net/software/uniextract

xpy.exe Result: 16/36
Und alles anscheinend ein Fehlalarme.
http://www.virustotal.com/analisis/768ac65...7fc36108c05bf49

http://xpy.whyeye.org/2008/05/16/your-antivirus-says/

Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.

@kurz-pc:

AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.

Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...


Scrapie

Jo hab es per threatfire Submite Forular gemacht da gibt es extra hacken für False Positive und Möglichkeit für Beschreiben.

Die Neugier hat mich gepackt und ich teste gerade mal die Home Edition von avast!.
Einziges FP bei der Prüfung der Festplatten war "F:\Programme\AceBIT\Password Depot 3\PasswordDepot.exe".
Da wurde angeblich ein "Win32:Dropper-PD(Trj)" erkannt.
Das ist nicht viel, wenn ich bedenke was die in a-squared Anti-Malware enthaltene Ikarus-Engine so alles gefunden haben will.
FP übers Programm gemeldet - nun ich bin gespannt was passiert.

G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene 60 FP.

Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...

hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.

Moin Stefan, Moin Sasser!

Die Avast-Engine von GData hat die FP´s produziert. Ich habe eh den Eindruck, dass eher Avast mehr FP´meldet als BitDefender.

Bis denne
Olli

Sophos - alle paar Tage ein beliebiger USB Stick.




Domino

False Positive:
G DATA 2009 erkennt mit Engine B die neue Version von McAfee AVERT Stinger
als einen Win32:Simile Virus an.

Virus: Win32:Simile (Engine B) (Auch bekannt als W32/Etap)
Datei: stinger10000457.exe
Verzeichnis: C:\Dokumente und Einstellungen\...\...
Prozess: Explorer.EXE

Wurde bereits an G DATA gemeldet.

Oh oh ... Bitdefender erkannte heute angeblich eine Windows-Datei:

http://www.heise.de/security/Bitdefender-u.../meldung/132540

Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz


Gruß Prozessor

Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.

In den Tests hat Avast meistens sehr viele FP

http://www.rokop-security.de/index.php?sho...mp;#entry263186

Joshua

Lest ihr eigentlich auch die letzten aktuellen Postings, die vor euren Beiträgen stehen?

Oh sorry, da hat wohl BitDefender mal zugeschlagen

Also die Quarantäne funktioniert bei mir einwandfrei. Selbst mit mehreren hundert Samples kann man sie noch öffnen. -> hab nur 1GB Ram

Nach meinen Erfahrungen produziert die Avast Engine mehr Fehlalarme als die BitDefender...

Auch wenn es dir jetzt leider nichts mehr bringt, liest es vielleicht doch noch ein anderer der betroffen ist:
Hier ist eine Anleitung wie man das System wieder in den Gang bringt: http://www.gdata.de/support/kundenservice/...inlogonexe.html

Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.

Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...

Erzähl doch mal den Usern, die etwas anderes einsetzen, warum

Die vielen f.p. waren für mich der Hauptgrund von GData IS zu F-Secure IS zu wechseln. Und diesbezüglich bin ich äußerst zufrieden!

Ach Julian. Ich hab schon alles durch. Die oben genannten Produkte waren bei mir die einzigen die nicht so Negativ aufgefallen sind. Besonders AVG und F-Secure Entwickler geben sich wirklich Mühe dem Kunden so gut wie es geht bei problemen zu helfen. Bei anderen bekommt mal lediglich eine Standardmail oder ein Hinweis zum besuch des Forums - Avira lässt grüssen das Forum ist ja nicht zu gebrauchen.

AdAware 2008 beanstandet mit Def. 0146.0011 a²HiJackFree.exe als Trojan.Spybanker, sicherlich falsch und schon eingesendet.

MfG

Ad-Aware AE beanstandet schon mal diverse DLL-Files als "Suspicous files", wohl etwas überempfindlich die Heuristik

Ein Fehlalarm von a² -> war wohl gravierend

Info

SecureWeb-Gateway hält die explorer.exe für schädlich Win32.LooksLike.Virut.

http://www.virustotal.com/analisis/c443b02...4d41ec590c0e1d3

hat jemand die Adresse von SecureWeb für fp?

Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:

http://www.virustotal.com/de/analisis/f818...bc21-1244018537


Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.


Deep Paint gibt's hier: http://www.chip.de/downloads/Deep-Paint_16395518.html

Ich habe es mal zu Gdata gesendet. Mal sehe, was passiert.

Bis denne
Olli

Danke, olli.

Und es geht weiter mit GData:

in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.html

finde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]

Auf Virscan.org melden alle andere Scanner aber nix, so dass ich stark von einem Fehlalarm ausgehen.

Die Datei habe ich auch schon eingesendet.

Bis denne
olli

Fehlalarm ist behoben.

Bis denne
Olli

Da waren sie aber wesentlich flotter als seinerzeit Symantec! Dort geht die FP-Behebung (auch wenn FPs selten bis gar nicht vorkommen, der SpeedCommander-FP war in einem Einstellungssicherungsmodul bei Heuristik hoch) nur über ein dämliches Webseitchen, ohne Datei-Upload-Möglichkeit. Und das hat Wochen gedauert. OK, FPs sind im Gegensatz zum G-Data-Zeugs eher nicht vorhanden, dennoch...

Bei mir hat Symantec vor kurzem ein FP der innerhalb 24 Stunden bestätigt und entfernt wurde.

Allerding hab ich es per Formular eingeschickt und nicht per Mail.
https://submit.symantec.com/false_positive/index.html

Im Moment ärger ich mich über Bitdefender versuch seit dem 16.04.09 ein FP entfernen zu lassen die melden sich aber einfach nicht und entfernt wird auch nichts.

VT vom 16.04.09 Result: 14/40 (35.00%)
http://www.virustotal.com/analisis/0df4e31...deae-1239893077

VT von 06.06.09 Result: 7/39 (17.95%) (Panda hat am 04.06.2009 den FP bestätigt)
http://www.virustotal.com/analisis/0df4e31...deae-1244321569

Der False Positive besteht immernoch bei Comodo, Bitdefender, MKS_Vir und McAfee obwohl ich ihn eingesandt habe. Sunbelt hat inzwischen gefixt.
Inzwischen kam auch noch PCTools dazu: http://www.virustotal.com/de/analisis/f818...bc21-1244733423

Hat schonmal jemand versucht, bei PCTools einen Fehlalarm zu melden? Was die alles wissen wollen -> http://www.pctools.com/de/mrc/dispute
Warum schauen die das nicht selbst an?